Eir,愛爾蘭最大的ISP提供商,其為數萬客戶提供使用的Eir D1000 寬帶調制解調器存在漏洞,可被遠程入侵控制,導致全國大面積網絡面臨被攻擊威脅。
背景
本月初,名為“kenzo”的安全研究員針對Eir D1000 modem進行了分析,發現其中開啟了與TR-064和TR-069兩種協議相關的端口號7547。
TR-064:全稱LAN側DSL被管理設備設置協議,是LAN 端基于 XML 的 CPE 管理協議,允許各種客戶端激活和支持使用案例,特別是在家庭網絡環境中。TR-064與TR-069相關。
TR-069:全稱CPE廣域網管理協議。提供了對下一代網絡中家庭網絡設備進行管理配置的通用框架和協議,用于從網絡側對家庭網絡中的網關、路由器、機頂盒等設備進行遠程集中管理。在TR-069所定義的框架中,主要包括兩類邏輯設備:受管理的用戶設備和接入控制服務器(ACS),ACS負責管理接入設備。采用過去人工方式對設備進行維護和管理將會成為一個巨大的負擔,TR-069的出現正是為了解決這樣一個服務難題。
由于電信公司對遠程設備進行管理的接入控制服務器(ACS)中同時運行有TR-069和TR-064協議,TR-069應用于廣域網,而TR-064應用于局域網。問題卻出在了這兒,按理來說,在WAN端是不能訪問TR-064協議的,但是針對Eir D1000 modem,在WAN端向其moderm設備的7547端口發送以下TR-064命令之后,將使得攻擊者可以遠程從互聯網端對moderm進行操作配置。
DeviceInfo/GetInfo:
This gives general information about the modem including serial number,
firmware version, device description etc...
WLANConfiguration/GetSecurityKeys:
This returns the Wi-Fi key
WLANConfiguration/GetInfo:
This returns the SSID and MAC address
Time/SetNTPServers:
This is the pièce de résistance. We can exploit this command to run
busybox shell commands on the modem. e.g. setting the NTP server to
"`iptables -F INPUT`" turns off the firewall on the modem which in
turn allows access to the administration interface on port 80.
漏洞利用代碼
向調制解調器發送的經過構造的TR-064命令可以實現兩種操作,一種是moderm端防火墻上開啟80端口,實現網絡管理界面遠程訪問,另一種是獲取moderm的wi-fi密碼,該密碼即網絡管理界面登錄密碼。漏洞利用代碼參見:http://paste.ubuntu.com/23526250/
其它
1、就像2015年初,由于CVE-2014-9222影響固件的“Misfortune Cookie”漏洞一樣,這些bug雖然不是單純的軟件漏洞,但也需要及時修補;
2、愛爾蘭國內還有上千臺由Vodafone和其它ISP提供商管理使用的moderm仍然存在該漏洞;
3、Eir公司另一種型號調制解調器P-660HN-T1A_IPv6同樣存在此漏洞;
4、利用shodan可以發現愛爾蘭將近有70,378臺此類moderm受該漏洞影響。
京公網安備 11010502049343號